Per oltre sei mesi un attore esterno ha avuto accesso non autorizzato ai sistemi collegati a PayPal Working Capital, il servizio di prestiti della piattaforma. L’incidente, iniziato il 1° luglio 2025 e scoperto solo il 12 dicembre 2025, ha portato all’esposizione di dati personali sensibili di circa 100 clienti.
La conferma ufficiale è arrivata con notifiche inviate il 10 febbraio 2026, a violazione già chiusa. Un intervallo temporale che, nel mondo della sicurezza informatica, pesa più del numero ridotto di utenti coinvolti.
Cosa è successo ai prestiti PayPal Working Capital
Secondo la comunicazione diffusa dall’azienda, l’accesso non autorizzato è stato collegato a una modifica nel codice relativa al processo di richiesta dei prestiti PPWC. PayPal parla di un errore tecnico, senza fornire dettagli specifici sulla vulnerabilità sfruttata.
Un portavoce ha dichiarato a Forbes che i sistemi principali della società non sarebbero stati compromessi. Tuttavia, nella notifica ai clienti si fa riferimento esplicito a un “accesso non autorizzato ai sistemi”, lasciando aperta una discrepanza comunicativa che solleva interrogativi. Durante la finestra di esposizione, l’attaccante avrebbe potuto consultare e potenzialmente estrarre informazioni personali.
Quali dati sono stati esposti
La violazione ha riguardato dati particolarmente sensibili: nome, indirizzo e-mail, numero di telefono, indirizzo dell’attività, numero di previdenza sociale (SSN) e data di nascita.
Alcuni clienti hanno segnalato transazioni non autorizzate, già rimborsate dall’azienda. Oltre ai rimborsi, PayPal ha proceduto alla reimpostazione forzata delle password degli account coinvolti. Come misura di mitigazione, la società offre due anni di monitoraggio del credito e servizi di ripristino dell’identità tramite Equifax.
Un nuovo episodio nella storia di sicurezza di PayPal
L’incidente non è isolato. Nel 2023 un attacco di tipo credential stuffing aveva consentito l’accesso a oltre 34.000 account, sfruttando credenziali riutilizzate dagli utenti su più servizi.
Negli ultimi anni si sono moltiplicate anche campagne di phishing sempre più sofisticate, incluse operazioni che sfruttavano infrastrutture legittime di fatturazione e schemi TOAD (Telephone-Oriented Attack Delivery), basati su telefonate fraudolente dopo l’invio di fatture false. La violazione legata a Working Capital si inserisce quindi in un contesto dove la sicurezza resta un fronte operativo permanente per la piattaforma.
Le raccomandazioni per gli utenti
PayPal invita a utilizzare password uniche per ogni servizio e ad attivare l’autenticazione a più fattori quando disponibile. In caso di attività sospetta, è consigliato modificare immediatamente credenziali e domande di sicurezza.
Particolare attenzione va riservata alle e-mail che richiedono azioni urgenti o credenziali. L’azienda ribadisce di non chiedere mai password o codici monouso tramite telefono, SMS o e-mail.
Se cento account possono sembrare pochi, la durata dell’accesso non autorizzato dimostra quanto sia cruciale monitorare costantemente movimenti e notifiche. Nel settore dei pagamenti digitali, il tempo è spesso l’alleato principale di chi tenta di sfruttare dati esposti.
